Comprendre QUALIOPI

Comprendre QUALIOPI

Vous connaissez Qualiopi ?

Cette nouvelle marque qualité a été lancer par le ministère du travail au mois de novembre 2019.

Elle concerne tous les prestataires de formation, ou OPAC selon leur nouveau nom officiel (Opérateur Prestataire d’Actions concourant au développement des Compétences). Pour pouvoir bénéficier de fonds publics ou mutualisés, les OPAC vont devoir obtenir cette certification et ce, avant le 1er janvier 2021.

La marque Qualiopi

Cette nouvelle marque, déposée à l’INPI, va permettre d’attester de la qualité du processus mis en place par les OPAC. En harmonisant ainsi la qualité de l’offre professionnelle, l’offre de formation deviendra plus lisible pour les entreprises et les particuliers.

Qualiopi est donc délivré par des organismes certificateurs accrédités par le Comité français d’accréditation (COFRAC) sur la base d’un référentiel national. Ce référentiel se base sur sept critères de qualité et 32 indicateurs applicables :

  • Conditions d’information du public sur les prestations proposées
  • Identification des objectifs de prestation
  • Adaptation des prestations et des modalités d’accueil, d’accompagnement, de suivi et d’évaluation
  • Adéquation des moyens pédagogiques, techniques et d’encadrement
  • Qualification et développement des connaissances et compétences des personnels
  • Inscription et investissement du prestataire dans son environnement professionnel
  • Recueil et prise en compte des appréciations et des réclamations des parties prenantes

La marque va donc remplacer toutes les certifications ou labels dits « CNEFOP » ainsi que l’enregistrement DataDock.

Quelle est justement la différence entre DataDock et Qualiopi ?

DataDock était un premier pas vers une démarche qualité. Il a été créé par les OPCA pour vérifier que les prestataires de formation respectent les critères du décret Qualité du 30 juin 2015. C’était un processus déclaratif avec quelques contrôles par la suite. La démarche Qualiopi quant à elle est une véritable démarche de certification avec des audits réguliers avant et après l’obtention de la certification.

Quel est le cycle de certification ? Qui est concerné ?

Le cycle de certification est de 3 ans : un audit initial contrôlera la mise en place du référentiel national qualité et un audit de surveillance sera à réaliser entre le 14ème et le 22ème mois suivant la date d’obtention de la certification.

L’ensemble des OPAC : Formation, Bilan de compétences, VAE, Apprentissage, sont concernés par cette démarche.

Pourquoi se faire certifier ?

La certification est une obligation mais elle offre des avantages qui ne sont pas négligeables. Qualiopi peut donc ainsi rassurer vos clients et les financeurs en justifiant votre conformité à la législation. Vous mettez également en place une politique d’amélioration continue de vos services, qui ne pourra que vous être bénéfique.

Le processus de certification prenant plusieurs mois, n’hésitez pas à entamer le processus dès maintenant ! Si vous avez des interrogations ou si vous souhaitez vous faire accompagner dans la mise en place du référentiel national qualité, contactez-nous.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment démarrer un projet de certification ISO 27001 ?

Comment démarrer un projet de certification ISO 27001 ?

Vous souhaitez vous lancer dans un projet de certification ISO 27001 mais vous ne savez pas comment démarrer le projet dans votre entreprise ? Vous vous sentez perdus face à l’immensité de la tâche ? Nous allons voir dans cet article les premières actions que vous pouvez mener dès le départ, avant même de répondre aux exigences de la norme.

Cadrer le projet de certification ISO 27001

Vous savez que vous voulez mettre en place la certification ISO 27001. Vous avez acheté les textes des normes. Et Vous les avez lus. Maintenant, comment commencez vous ? Comment démarrer un projet de certification ISO 27001 ?

1 – Prévoir les coûts

La première étape est d’avoir conscience, de prévoir et de planifier dans sa trésorerie le coût financier d’un tel projet de certification. Il est nécessaire de distinguer deux types des coûts : le coût interne (de la mise en oeuvre) et le coût externe de la certification :

  • le coût interne s’estime selon la maturité et la complexité de votre entreprise. Il faut prendre en compte les coûts liés au temps passé par vos équipes sur le projet de certification et les outils et mesures que vous allez déployer pour apporter une réponse aux exigences de la norme ISO 27001. C’est dans cette phase que faire appel à un consultant externe peut vous aider à structurer votre démarche de certification en gagnant du temps et vous garantir de ne pas tomber dans une « sur-documentation » pour passer la certification.
  • le coût externe est calculé par l’organisme certificateur en fonction du périmètre à certifier de votre entreprise, de la taille de votre entreprise pour déterminer un temps d’audit qui sera facturé.

Le retour sur investissement des démarches de certification est très positif pour les entreprises en terme d’organisation et de développement commercial

En savoir plus sur les coûts de la certification

2 – Avoir une démarche volontaire et impliquée

S’engager dans une démarche de certification ISO 27001 demande de l’investissement et une vraie volonté provenant de la direction. Il faut en moyenne compter une année pour se faire certifier ISO 27001. Il n’y a jamais de bon moment pour entamer cette démarche, vous n’aurez jamais toutes les conditions réunies pour « être prêt » à commencer. Alors, un conseil, lancez-vous !

Le soutien de la direction est primordiale ainsi que son implication dans les décisions et la communication

La première étape : Diagnostic de l’entreprise

Une fois les contours du projet définis, vous pouvez commencer à entamer une première phase de diagnostic : aller à la rencontre de vos équipes et écouter vos clients.

1 – Faire un premier recensement ?

Vous pouvez commencer par faire un premier recensement des outils utilisés par toutes vos équipes, des documents qui existent concernant les différents process de l’entreprise. Ce recensement vous fera une base sur laquelle vous pourrez vous appuyer pour vos prochaines actions.

2 – Aller sur le terrain

Ensuite, vous pouvez aller sur le terrain pour rencontrer vos équipes ou échanger avec vos clients sur la sécurité ! Cela va vous permettre de compléter votre premier état des lieux de ce qui existe déjà (en termes de process, d’organisation de travail) et de connaitre les problématiques actuelles et les attentes en matière de sécurité de l’information.

3 – Mobiliser les compétences en interne

Ensuite, il est essentiel de déterminer les rôles de chacun dans le projet de certification. Qui sera chef de projet certification en interne ; c’est-à-dire responsable du suivi des actions ? Qui sera RSSI ; responsable de la mise en œuvre de la sécurité et du contrôle ? Comment les équipes devront-elles travailler ensemble sur ce projet ?

4 – Faire appel à un consultant externe

Vous voulez tout de suite commencer ce projet sur des bonnes bases et suivre la bonne direction pour vous faire certifier ? Faites appel à un consultant externe qui pourra vous conseiller au mieux sur votre démarche. Cela vous permettra d’avoir un regard extérieur sur votre projet, de mieux organiser votre démarche et du coup de gagner du temps ! Ce n’est pas négligeable… Chez Feel Agile, nous souhaitons construire avec vous des fondations solides pour que votre certification soit une vraie démarche d’amélioration de votre entreprise.

Pour diagnostiquer la sécurité dans l’entreprise vous pouvez vous appuyer sur la norme de bonnes pratiques ISO 27002

Obtenir l’ISO 27002 code de bonnes pratiques en sécurité de l’information

Commencer à documenter

En dernier lieu,  vous pouvez également créer votre documentation (avoir le réflexe de documenter vos process ou procédures). En partant de votre premier état des lieux, vous verrez déjà des manques à combler, des process non décrits, des documents non actualisés,… Le but ici est de documenter toute votre action en matière de sécurité de l’information.

Ce sera toujours utile et pourra servir de base pour vos actions futures !

Une fois que vous avez effectué toutes ces étapes, vous êtes plus que prêts à vous lancer entièrement dans la démarche de certification ! Feel Agile vous accompagne tout au long de votre action, du diagnostic à la certification.

Nous avons abordé quelques éléments clés pour répondre à la question « Comment démarrer un projet de certification ISO 27001 ». Si vous souhaitez en savoir plus sur notre accompagnement, contactez-nous ! Nous serons ravis de répondre à vos questions !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment innover dans l’approche de la certification ISO 27001 ?

Comment innover dans l’approche de la certification ISO 27001 ?

Rencontre avec notre CEO, Thomas De Mota, qui va vous faire redécouvrir la démarche de certification !

La démarche de la certification est souvent abordée comme une mise en règle documentaire contraignante des normes pour répondre à une exigence client. Comment pouvons nous l’aborder d’une autre manière ?

Vous souhaitez vous lancer dans une démarche de certification ISO 27001, mais vous ne savez pas comment vous y prendre ? Vous vous imaginez peut-être devoir produire une montagne de documents et répondre à une liste incalculable d’exigences ?

Et si vous l’envisagiez d’une autre manière ?

C’est tout à fait vrai qu’il y a de la documentation à produire. Les règles de sécurité ainsi que les politiques de sécurité sont à établir. Les procédures doivent également être définies dans des documents formels. C’est la réalité, mais il faut savoir que c’est juste un aspect de la démarche de certification. Essayons plutôt de l’envisager sous un autre angle, celui de l’innovation.

L’innovation ? Nous pouvons innover quand nous lançons notre démarche de certification ISO 27001 ?

Tout à fait ! C’est notre manière de faire chez Feel Agile.

Innover c’est créer des marges de manœuvre sur la façon dont nous allons mettre en place la norme ISO 27001 et la sécurité.

Pour pouvoir innover, il faut donc déjà bien connaitre la norme et le texte. On parle ici de la norme ISO 27001, mais aussi de toutes les normes d’accompagnement (ISO 27002, ISO 27003,…) Ce sont des normes qui vont traiter de points particuliers de la mise en œuvre de la 27001. C’est donc très important de les connaître en profondeur afin de trouver et de comprendre la marge de manœuvre possible. En connaissant ce socle minimal des exigences, nous ne nous mettons pas de barrières trop importantes pour innover. L’auditeur ne peut pas vous rajouter des exigences qui ne sont pas définies dans la norme.

Pour innover, il faut connaitre à la perfection les normes pour connaitre nos marges de manœuvre

Comment cela se traduit concrètement, un exemple ?

Prenons l’exemple de la Revue de Direction. Auparavant, nous faisions la Revue de direction de façon semestrielle ou annuelle. Nous y passions en revue les incidents, tous les sujets de sécurité.

Quand une entreprise est mature sur ces sujets, cela fonctionne très bien. Mais quand on met en place les choses, c’est mieux de tenir des Revues de Direction mensuelles. Cela permet d’ancrer la Revue dans les pratiques plus facilement. Certains consultants diraient qu’on “n’a pas le droit “ et que  “ce n’est pas du jeu” mais si justement, on a le droit ! Tant qu’on remplit l’exigence minimale de passer tous les sujets de sécurité une fois par an, on a tous les droits de l’adapter à notre convenance.

Par exemple, nous pouvons revoir les incidents au mois de janvier et les risques au mois d’août. Nous ne sommes pas obligés de traiter tous les sujets en même temps. C’est d’ailleurs ce que je conseille, pour pouvoir intégrer les sujets plus régulièrement et que ce soit à jour tout le temps. Cet exemple est parlant et nous pouvons le décliner sur toutes les exigences de l’ISO 27001.

Faire des revues de direction courtes, participatives tous les mois

Qui peut adopter cette démarche ?

Cette manière d’aborder la certification s’adresse beaucoup aux entreprises à l’esprit agile. C’est vraiment appliqué l’esprit « agile » à la sécurité.  Nous avançons par petits bouts régulièrement, nous découpons tout, plutôt que de tout construire d’un coup en faisant quelque chose de trop compliqué.

Est-ce que les entreprises qui n’ont pas ce fonctionnement agile peuvent tout de même mettre en place cette démarche pour leur certification ?

Oui complètement. C’est tout à fait indépendant des méthodes officielles. On l’applique directement à l’organisation. Ce qui peux amener l’entreprise à évoluer dans sa façon de se structurer.

Cependant, c’est plus complexe sur les grands projets informatiques pour intégrer la sécurité car il y a souvent un historique qui est difficile à reprendre. Avec la norme ISO 27001, on parle vraiment de la sécurité dans sa globalité.

Quels sont les points importants dans cette démarche de certification ISO 27001 ?

Je pense que pour innover, la présence de la direction dans les décisions prises est essentielle.

Si vous voulez aller vite et être efficace sur la sécurité, vous pouvez aussi investir dans des petites formations de sensibilisation. Il existe aujourd’hui des outils très intéressants qui vous permettront d’automatiser vos campagnes de sensibilisation (comme Lucy Security).

Les outils qui vont également automatiser vos processus de sécurité sont également un investissement indispensable.

Rien ne remplace des sensibilisations présentielles, avec un dialogue direct avec les opérationnels

D’autre part, partir du terrain est autre élément important. Il faut construire des démarches de sécurité sur ce qu’il y a déjà en place. Bien connaître le terrain et ne pas calquer un système tout fait, c’est primordial ! Le système est ainsi construit de façon progressive et avec les équipes.

Ce qu’on préconise au début, c’est de faire des audits dès le commencement du projet. Les personnes sont ainsi préparées et sensibilisées très tôt. Au lieu de faire uniquement des audits blancs, on privilégie les démarches d’audits internes concrets et opérationnels. Cela permet de remonter les informations du terrain et de connaître l’existant parfaitement pour construire un système adapté.

Intégrer les audits flashs par sujet ou processus

Si nous voulons démarrer un projet de certification, comment pouvons-nous dès le début poser les bonnes bases ?

Le plus important c’est que la direction de l’entreprise soit impliquée. Elle doit l’être de façon très concrète en s’occupant des sujets de sécurité et des incidents, en demandant des comptes. Elle va également imposer des politiques de sécurité. En imposant les bases, les règles minimum en matière de sécurité, la direction montre son engagement fort dans la démarche. Mais attention, il faut qu’elle puisse assumer ces choix et les ressources liées au bon fonctionnement de cette politique !

Comment pouvons-nous nous assurer que la démarche mise en place corresponde à l’ADN de notre entreprise ?

La sécurité c’est valable pour toutes les entreprises ! La confiance au sein des entreprises est indispensable mais elle est insuffisante : on ne peut pas faire de sécurité sans contrôle. Pour autant, les notions de souplesse et d’adaptation sont présentes dans la sécurité. C’est ce qu’on appelle la sécurité opérationnelle : on tient compte de la réalité des personnes et de leur travail pour ne pas établir un système trop contraignant. Si c’est trop contraignant, le système et les règles vont être contournées… Le tout est donc de construire un château fort qui sera protégé par un système de contrôle intelligent.

Comment pouvons-nous continuer à être agiles après la certification ?

L’enjeu après la certification c’est de maintenir le système créé progressivement. Pour réussir cela, il faut maintenir la même philosophie, la même démarche, et l’effort dans la durée !

Est-ce que je peux retrouver cette vision chez tous les consultants en ISO 27001 ?

Il y a de nombreux consultants qui partagent cette vision et cette approche mais il faut vérifier lors du recrutement que dans les faits cette philosophie soit vraiment présente. Opter pour l’innovation dans la démarche ISO 27001 vous donnera des résultats en termes de sécurité et aussi de certification !

Si vous souhaitez en savoir plus sur notre accompagnement à la certification, retrouvez toutes les informations ici et sur notre FAQ.

N’hésitez pas à nous contacter pour toute question.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Retour d’expérience sur la certification ISO 9001 d’ACTILITY

Retour d’expérience sur la certification ISO 9001 d’ACTILITY

Entretien avec Olivier Hersant, CEO ACTILITY

Créée en 2010, la société Actility est spécialisée dans le déploiement de réseaux bas débit longue portée pour l’Internet des Objets (IoT). Elle est l’un des créateurs du protocole de communication LoRaWAN, reposant sur des fréquences radio hors-licence pour connecter des objets entre eux. En 2019, après un accompagnement réalisé par Feel Agile, la société a obtenu la certification ISO 9001 de ses activités sans non-conformité.

A la veille de l’audit de suivi marquant la première année du cycle de certification, nous avons rencontré Olivier Hersent, co-fondateur et CEO de l’entreprise, pour qu’il nous explique sa démarche, ses enjeux et l’évolution de l’organisation de son entreprise ces derniers mois.

Bonjour Olivier Hersant. Pouvez-vous nous en dire plus sur votre volonté faire certifier Actility ISO 9001 ?

Nous travaillons dans un secteur qui est extrêmement sensible à la qualité. Il y a une fameuse expression anglaise qui évoque bien cela : « carrier class », le symbole de la qualité extrême. Nos systèmes sont déployés à très large échelle et nous travaillons sur des réseaux nationaux, ce qui nécessite une attention particulière à la qualité. Concernant l’obtention de la certification ISO 9001, il s’agit à l’origine d’une demande de la part d’un de nos clients.

S’agissant d’une exigence client, comment abordiez-vous la démarche de certification ? 

Même si Actility a dix ans, je travaille avec l’équipe depuis plus de vingt ans et nous étions auparavant certifiés ISO 9001. Nous sommes donc très familiers de l’ISO 9001. Nous étions tous absolument convaincus de l’intérêt du fonctionnement ISO dans l’organisation interne pour assurer un bon niveau de qualité. Et nous étions également convaincus que nous suivions suffisamment les recommandations de la norme dans l’esprit et dans la pratique. Donc pour nous, la motivation d’une telle démarche de certification, était évidemment de satisfaire le client mais aussi de valoriser nos produits en ayant une reconnaissance officielle du niveau de qualité.

Quel a été le bénéfice principal de l’ISO 9001 pour votre entreprise ?

Nous avons eu un bénéfice complètement inattendu de l’ISO 9001, c’est la qualité de notre intranet. A l’époque, nous étions 150 personnes. Des enjeux de communication se sont posés : comment tel département sait ce que tel autre département fait ? Surtout que nous sommes présents dans une dizaine de pays et nous avons quatre sites rien qu’en France. Nous voulions donc créer un intranet mais nous n’y arrivions pas. C’était de mauvaise qualité ou les gens n’y participaient pas…

Lorsque nous avons débuté la démarche de certification, nous avons confié la réalisation du projet ISO 9001 à une collaboratrice qui avait un profil informatique. Elle a souhaité que le projet devienne complètement online et elle s’est appuyée ainsi sur l’intranet. Chaque département a donc commencé à mettre ses process, ses enregistrements et ses illustrations sur l’intranet. Et en l’espace de trois mois, nous avons obtenu un intranet extrêmement bien structuré selon la composition de la société en process, illustré, à jour et avec des collaborateurs qui ont commencé à vraiment l’utiliser. C’est aujourd’hui le plus grand bénéfice que nous avons retiré de cette démarche ISO.

 Avec l’ISO 9001, nous pouvons améliorer la qualité, l’organisation de notre structure mais également améliorer la communication des équipes internes avec un intranet de qualité bien mieux structuré. Pour moi, c’est presque devenu ma méthodologie de référence pour réaliser un système de communication interne dans une entreprise !

Combien de temps vous a-t-il fallu pour mettre en place la démarche de certification ? Et pourquoi avoir fait le choix de vous faire accompagner ?

Il nous a fallu environ neuf mois pour mettre en place l’ISO 9001 et obtenir la certification. Concernant le choix de l’accompagnement, même si nous avions une culture très forte de l’ISO, c’était quand même une culture qui datait de dix ans auparavant…

Nous n’avions pas connaissance des simplifications dans les récentes normes. C’était également pour donner et assurer une dynamique interne. Nous sommes une petite société et nos collaborateurs sont déjà à 110%.

Psychologiquement de devoir reporter à quelqu’un qui est extérieur, ne serait-ce qu’avoir un rendez-vous avec quelqu’un de l’extérieur, c’est assez différent et engageant. C’est le binôme entre une personne dédiée en interne et la crédibilité et l’amicale pression de quelqu’un en externe qui a contribué à ce que nos collaborateurs trouvent du temps et avancent sur le projet ISO 9001.

Comment Feel Agile vous a accompagné dans votre démarche de certification ?

Feel Agile a été comme un sparring partner avec la personne dédiée en interne au projet. Ils nous ont accompagné sur la production documentaire. C’était vraiment très important pour nous d’avoir la capacité d’un accompagnement continu assez régulier. Il y avait des points chaque semaine. Le fait d’avoir cette ressource permanente, c’était assez souple pour l’accompagnement de nos équipes.

Comment qualifiez-vous l’accompagnement de Feel Agile ?

Je dirais que c’est un accompagnement pragmatique. Le fait d’avoir un auditeur qui vient voir votre travail, je pense que dans la culture française, ça rend les gens extrêmement nerveux. On a des collaborateurs qui tout d’un coup ne se sentent pas concernés ou n’ont pas envie d’assister aux réunions. Il y a ce côté de “retour à l’école” avec l’impression que quelqu’un vient vous noter. J’étais assez étonné de la force de ce frein. Feel Agile a pu parfaitement rassurer nos collaborateurs et dédramatiser l’exercice de l’audit. 

Cela fait presque un an que vous êtes certifié. Comment entretenez vous la certification dans le temps ?

Dans ma précédente entreprise, nous avions choisi de mettre uniquement le cœur de métier dans le périmètre de certification. Nos équipes R&D ont dont l’habitude de travailler de cette façon, depuis de nombreuses années. Le système de qualité fonctionne tout seul. Pour cette certification, nous avons choisi de mettre dans le scope la société entière. Aujourd’hui, c’est beaucoup plus difficile de garder à jour les autres départements qui viennent de se faire certifier car ils n’ont autant l’habitude de la tenue des process que notre R&D.

Par ailleurs nous avons choisi au cours de l’année de fusionner certains départements. Pour tenir à jour notre système de management de qualité, nous passons donc en revue les processus pour les réattribuer ou les changer selon le nouveau contexte. Et je constate qu’avec la démarche qualité, nos collaborateurs vont spontanément s’exprimer sur des ambiguïtés qui pourraient exister.

En France, notre culture ne nous porte pas à extérioriser et faire des remarques sur l’organisation de la société… on en parle au café entre collègues mais pas aux managers, par peur que ce soit mal vu. Avec l’excuse de la qualité, nos collaborateurs s’expriment beaucoup plus. J’ai mis en place au sein de la société un outil, une lettre de communication interne qui répond à tout ce qui a émergé pendant la semaine. Cette lettre me permet de communiquer à tous les salariés en temps réel. L’outil est efficace. La qualité est donc devenue chez nous un véritable animateur clé de tout processus de communication interne.

Propos recueillis par Ségolène Lhommée Communication (Stratégie de communication – Conception et rédaction de supports de communication)

A propos d’Actility (www.actility.com)

Actility est un leader mondial des réseaux industriels radio à très basse consommation (LoRaWAN) pour l’Internet des objets. Plus de 50 opérateurs de réseaux publics et des milliers d’entreprises font confiance à la plate-forme « ThingPark » dans le monde. Actility fournit aussi des technologies de géolocalisation brevetées à ultra-basse consommation à travers sa filiale Abeeway (www.abeeway.com). La plateforme ThingPark, certifiée ISO 9001 et bénéficiant de plus de 7 ans d’expérience dans toutes les régions du monde, est au cœur de nombreuses innovations qui font progresser l’agriculture ou l’élevage, améliorent la productivité et la sécurité dans de nombreuses industries, et contribuent ainsi au développement durable. ThingPark Market (http://market.thingpark.com ) met à disposition un large choix de passerelles, capteurs et solutions IoT.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comprendre les certifications du numérique (volet 2 : ISO 9001, ISO 20000, ISO 27701, SecNumCloud)

Comprendre les certifications du numérique (volet 2 : ISO 9001, ISO 20000, ISO 27701, SecNumCloud)

Après avoir fait un focus dans le premier volet sur la certification ISO 27001, HDS et la règlementation RGPD. Nous allons passer en revue dans ce deuxième volet les certifications du numérique :

  • Certification ISO 9001 en Management de la qualité,
  • ISO 20000 Management des services informatique
  • Norme ISO 27701 Certification du Management de la Protection de la vie privée
  • La qualification SecNumCloud – sécurité des services SaaS

Pourquoi la norme ISO 9001 est une des normes les plus reconnues à travers le monde ?

La norme ISO 9001 est la norme de management la plus déployée et reconnue sur le plan international. Avec plus d’un million de certificats à travers le monde, elle est utilisée comme un outil de pilotage d’entreprise. De plus, cette démarche permet d’avoir un véritable socle qui permet de maitriser ses activités en clarifiant les responsabilités de chacun. L’ISO 9001 amène à un état des lieux des dysfonctionnements et des risques. Ainsi ces risques sont traités ce qui permet une réduction des sources de non-qualité.

Obtenir cette certification permet de démontrer son aptitude à fournir un produit ou un service conforme aux exigences des clients et aux exigences légales et réglementaires applicables. De plus, la direction montre également sa volonté d’accroître la satisfaction de ses clients. C’est un véritable avantage concurrentiel et outil d’amélioration.

En quoi consiste la mise en place et l’obtention d’une certification ISO 9001 ?

L’obtention de la certification ISO 9001 demande de répondre aux exigences de la norme. En mettant en place un Système de Management de la Qualité (SMQ), l’entreprise réajuste les processus existants. La direction passe en revue, vérifie et contrôle l’efficacité de ces processus et des actions réalisées. Pendant la préparation de la certification et l’instauration du SMQ, le référent désigné, le responsable qualité, informe, sensibilise et communique avec tous les collaborateurs sur l’engagement de l’entreprise, la politique et les orientations données par la direction. La mise en oeuvre de la norme ISO 9001 est un véritable projet d’entreprise.

Une fois la certification obtenue par un organisme certificateur, elle est valable pendant trois ans. Pendant ce laps de temps, des audits de surveillance se tiennent chaque année, jusqu’au renouvellement du cycle de certification au bout de ces trois années.

Mettre en place la certification ISO 20000 Management des services informatiques

La norme ISO 20000, issue de la norme britannique BS 15000, est une norme visant à garantir un niveau de qualité élevé des services en technologies de l’information pour le client et pour les employés de l’entreprise. De même, elle s’appuie sur le référentiel de bonnes pratiques ITIL et les principes du cycle de Deming (P pour Plan : planifier, D pour Do : faire, C pour Check : contrôler et vérifier, A pour Act : chercher des points d’amélioration).

La réponse aux exigences de la norme permet de produire un service plus efficient. Et permet de réduire les coûts sur le long terme. C’est un atout concurrentiel non négligeable. Elle garantit une qualité de service tels que la réduction des risques. Ainsi que la qualité de service vérifiée tous les ans et image d’expertise du service IT.

La nouvelle norme 27701 entrée en vigueur en août 2019, qu’est-ce que c’est ?

Avec l’entrée en application de la RGPD en mai 2018, la norme 27701 sur les données personnelles a été mise à jour. Elle regroupe les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la vie privée. Elle permet donc d’évaluer efficacement. Mais aussi d’identifier et de traiter les risques associés à la collecte et au traitement des données personnelles. C’est un complément à la norme ISO 27001. Pour être donc certifié ISO 27701, il faut préalablement être certifié ISO 27001 sur le périmètre. La réponse aux exigences de cette norme est un excellent moyen pour toute entreprise d’adopter une démarche d’amélioration continue. Ainsi de renforcer la confiance des parties prenantes.

Quelles sont les autres normes ISO qui concernent les entreprises du numérique et notamment les services de cloud ?

La suite ISO 27000 contient les normes pour l’implémentation et le maintien du Système de Management de la Sécurité de l’Information, les recommandations des meilleures pratiques et un nombre croissant de normes liées au SMSI. Pour les services de cloud spécifiquement, la ISO 27017 est un code de pratique pour les contrôles de sécurité de l’information fondés sur les objectifs de contrôles de ISO 27002 et la ISO 27018 concerne la protection des données à caractère personnel. Cette dernière peut donner lieu à une certification.

Et la qualification SecNumCloud ?

La qualification SecNumCloud, délivrée par l’ANSSI, est un référentiel de sécurité. Elle s’adapte aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale. Le SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données. Une fois la qualification délivrée, des audits de surveillance sont réalisés tous les 18 mois afin de contrôler la bonne conformité des dispositifs.

Entrons en contact sur LINKEDIN Thomas DE MOTA

Feel Agile sur Linkedin

Si vous souhaitez vous faire accompagner dans la mise en place de ces normes et dans la préparation à une certification. Ou si vous souhaitez en savoir plus, vous pouvez nous contacter ici.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !